Installa il sistema di rilevamento delle intrusioni sborrato Ubuntu
Dopo aver impostato qualsiasi server tra i primi passaggi soliti collegati alla sicurezza sono il firewall, gli aggiornamenti e gli aggiornamenti, le chiavi SSH, i dispositivi hardware. Ma la maggior parte dei sistemi di sistema non scansiona i propri server per scoprire punti deboli come spiegato con Openvas o Nessus, né impostano honeypot o un sistema di rilevamento delle intrusioni (ID) che è spiegato di seguito.
Ci sono diversi ID sul mercato e i migliori sono gratuiti, Smort è il più popolare, so solo Snort e OSSEC e preferisco OSSEC su Snort perché mangia meno risorse ma penso che Snort sia ancora quella universale. Opzioni aggiuntive sono: Suricata, ID frro, cipolla di sicurezza.
La ricerca più ufficiale sull'efficacia dell'IDS è piuttosto vecchia, dal 1998, lo stesso anno in cui Snort è stato inizialmente sviluppato ed è stato condotto da DARPA, ha concluso che tali sistemi erano inutili prima degli attacchi moderni. Dopo 2 decenni, si è evoluto alla progressione geometrica, anche la sicurezza ha fatto e tutto è quasi aggiornato, adottare ID è utile per ogni sistemazione.
Snort IDS
Snort IDS funziona in 3 diverse modalità, come sniffer, come logger di pacchetti e sistema di rilevamento delle intrusioni di rete. L'ultimo è il più versatile per il quale questo articolo è focalizzato.
Installazione dello snort
Apt-get Installa LibpCap-Dev Bison Flex
Quindi corriamo:
Apt-get Installa Snort
Nel mio caso il software è già installato, ma non è stato per impostazione predefinita, è così che è stato installato su Kali (Debian).
Introduzione alla modalità sniffer di Snort
La modalità sniffer legge il traffico della rete e visualizza la traduzione per uno spettatore umano.
Per testarlo tipo:
# snort -v
Questa opzione non deve essere utilizzata normalmente, la visualizzazione del traffico richiede troppe risorse ed è applicata solo per mostrare l'output del comando.
Nel terminale possiamo vedere le intestazioni del traffico rilevate da sbuffo tra il PC, il router e Internet. Snort riferisce anche la mancanza di politiche per reagire al traffico rilevato.
Se vogliamo Snort per mostrare anche i dati, digita:
# snort -vd
Per mostrare le intestazioni di livello 2:
# snort -v -d -e
Proprio come il parametro "V", "E" rappresenta anche uno spreco di risorse, il suo utilizzo dovrebbe essere evitato per la produzione.
Iniziare con la modalità Logger di pacchetti di Snort
Per salvare i rapporti di Snort dobbiamo specificare per sbuffare una directory di registro, se vogliamo che Snort mostri solo intestazioni e registri il traffico sul tipo di disco:
# mkdir snortlogs
# snort -d -l snortlogs
Il registro verrà salvato nella directory Snortlogs.
Se si desidera leggere il tipo di file di registro:
# snort -d -v -r logfilename.tronco d'albero.XXXXXXX
Introduzione con la modalità NIDS di Snort Network Intrusion Detection System)
Con il seguente comando Snort legge le regole specificate nel file/etc/snort/snort.conf filtrare correttamente il traffico, evitando di leggere l'intero traffico e concentrarsi su incidenti specifici
indicato nello snort.conf attraverso regole personalizzabili.
Il parametro "-A Console" indica a Snort di avvisare nel terminale.
# snort -d -l snortlog -h 10.0.0.24/24 -a console -c snort.conf
Grazie per aver letto questo testo introduttivo all'uso di Snort.